Чего стоит бояться компаниям на просторах Интернета. На смену паяльнику и автомату Калашникова пришли DDoS-атаки, компьютерные вирусы и спам-рассылки
"Последнее десятилетие сделало российский бизнес гораздо цивилизованнее. Отчасти в этом есть и заслуга IT-технологий: на смену паяльнику и автомату Калашникова пришли DDoS-атаки, компьютерные вирусы и спам-рассылки. Компании выводят из строя сайты конкурентов и подсылают троянов для кражи конфиденциальной информации. Потери исчисляются миллиардами долларов.
Среднестатистического хакера принято считать молодым человеком в возрасте 18 – 25 лет, ведущим малоподвижный образ жизни, имеющим проблемы со зрением и подрабатывающим кражей конфиденциальной информации на заказ. Но соответствует ли действительности этот навязанный Голливудом образ? Представители «Лаборатории Касперского» не согласны с тем, что большинство современных хакеров – скучающие подростки. «Времена «студенческих» вирусов давно прошли, – говорит Денис Назаров, старший вирусный аналитик «Лаборатории Касперского». – Теперь создание вредоносного программного обеспечения – это развитая индустрия, состоящая из сотен компаний, зачастую работающих по успешным бизнес-моделям». Еще в начале прошлого года в своем отчете (Internet Security Threat Report XII) компания Symantec объявила, что черный рынок хакерских инструментов становится все более профессиональным, а его годовой оборот достигает нескольких миллиардов долларов. Разработка вредоносного кода стала способом регулярного заработка для множества специалистов. В Интернете появились профессиональные инструменты для атак, такие как MPack и другое программное обеспечение особого назначения. В новом отчете Symantec за второе полугодие 2007 года сообщается, что подпольная экономика крепнет и хакеры все чаще объединяются в устойчивые профессиональные группы, занимающиеся вполне коммерческой деятельностью.
А был ли сайт?
Раньше случаи мошенничества с использованием информационных технологий были единичными. Например, несколько лет назад Комиссия по ценным бумагам и биржам США (Securities and Exchange Commission, SEC) обвинила 23 компании и частных лица в мошенничестве на фондовом рынке с использованием Интернета. По информации SEC, нарушения заключались в попытках как частных, так и публичных компаний раздуть свою рыночную капитализацию в общей сложности более чем на $300 млн и привлечь $2,5 млн от инвесторов по всему миру. Для этого использовался разнообразный сетевой арсенал: спам, рассылка информационных бюллетеней, веб-сайты и электронные доски объявлений. В нашей стране хакерские услуги в последнее время становятся уже совсем привычным инструментом. Например, в октябре прошлого года появился поддельный сайт компании «ЛУКОЙЛ», и той даже официально пришлось объяснять, что этот ресурс не имеет никакого отношения к ней. Тем не менее сайт многих вводил в заблуждение, нанося ущерб репутации компании, что соответственно могло сказаться на прибыли. В июле прошлого года случился еще один громкий скандал – хакеры атаковали официальный сайт ОАО «Сургутнефтегаз», закрыв к нему доступ. Также был разослан поддельный пресс-релиз. В фальшивке сообщалось об аресте генерального директора «Сургутнефтегаза» Владимира Богданова и председателя совета директоров Николая Захарченко по подозрению в уклонении от уплаты налогов. Информация взбудоражила рынок, и акции «Сургутнефтегаза» сильно упали.
Живущие в Сети
К услугам хакеров быстро привыкли, а спрос рождает все большее предложение. Бритоголовые парни в малиновых пиджаках начала 90-х переоделись в строгие костюмы от «Армани», а их методы конкурентной борьбы сменились с физических на виртуальные. Теперь выражение «заказать» конкурента очень часто означает организацию хакерской атаки на его сайт с целью повредить репутацию, снизить доверие пользователей и т. д. Иногда это взлом корпоративной сети, похищение конфиденциальных данных и прочее. Сейчас практически в свободном доступе в Сети можно купить данные кредитных карт, полные сведения для идентификации личности и т. п. Наметилась опасная тенденция – раньше пользователи могли стать жертвами злоумышленников, лишь преднамеренно посещая вредоносные сайты или кликая вложения в сообщения e-mail. Сегодня хакеры взламывают обычные безобидные веб-сайты и используют их в качестве плацдарма для организации атак на домашние и корпоративные компьютеры. Symantec обращает внимание на то, что хакеры особенно полюбили сайты, которые пользуются доверием, например социальные сети в Интернете.
Рынок черных услуг в Сети входит в стадию зрелости. Этот этап характеризуется большим количеством одиночек, которые стали все чаще соединяться в группы под конкретный заказ. Владимир Ульянов из Perimetrix считает, что «сообщество киберпреступников неоднородно, но часто нарушителями оказываются подростки, не знающие, куда направить энергию, жадные до легкой наживы. Как правило, они работают на самих себя, иногда поражая приземленностью целей». Например, один малолетний хакер прославился тем, что залез в школьную базу данных, чтобы подправить оценки себе и товарищам. «Еще одному 17-летнему юноше из Астрахани грозит до 5 лет лишения свободы за то, что он заходил в Интернет, используя учетные данные других клиентов провайдера». При этом, говорит Ульянов, есть также профессионалы и полуофициальные организации, предоставляющие услуги информационного терроризма.
С ним согласны эксперты «Информзащиты»: «Как правило, комплексные услуги оказываются организованными интернациональными группами хакеров высокой квалификации. Причем классические криминальные группировки не имеют и не будут иметь влияния на подобные виртуальные группы – четкая иерархия здесь отсутствует, а основным мерилом взаимоотношений является информационный обмен и честный финансовый взаиморасчет». В случае успешности бизнеса и востребованности подобных услуг хакерские группировки могут существовать достаточно долгое время. Алексей Чередниченко, ведущий консультант Symantec в России и СНГ, приводит в качестве примера знаменитую Russian Business Network (RBN), которая в течение последних двух лет промышляла разнообразной вредоносной деятельностью. В ноябре 2007 года в ответ на давление со стороны вышестоящих интернет-сервис-провайдеров RBN вышла в офлайн, а затем через неделю возродилась в Китае. «Столь быстрая передислокация подчеркивает, насколько хорошо злоумышленники подготовлены к адаптации «на лету», – говорит Чередниченко. – При этом они с успехом используют технологии обеспечения непрерывности бизнеса, такие как переход на резервные серверы при попытке их закрытия».
Как рассказывают эксперты, лидерами в хакерских группировках выступают люди с организаторскими способностями, выполняющие функции проектных менеджеров. При этом каждый член группировки индивидуален, имеет свой псевдоним и работает с «коллегами» с обеспечением собственной анонимности. Он в любой момент может «выйти из игры», стать одиночкой или перейти в другую группу, сменив псевдоним и разорвав старые контакты. Подобные «фантомы Сети» крайне редко попадают в поле зрения правоохранительных органов либо, наоборот, активно сотрудничают со спецслужбами.
Специалисты «Информзащиты» так рисуют портрет современного рыцаря мыши и клавиатуры: «Возраст членов подобных групп колеблется от 25 до 35 лет. Они не пьют пиво бочками, проводя дни и ночи за модным ноутбуком, не играют в компьютерные игры и по возможности стараются как можно меньше пользоваться ПК, Сетью и разными гаджетами в свободное от работы время. Как правило, стаж активного общения с IT у них составляет более 20 лет. При этом они не стремятся стать героями-миллионерами, а являются представителями среднего класса, поскольку ключевым моментом существования каждого является сохранение конфиденциальных персональных данных – это вопрос выживания не только самого хакера, но и его семьи». Вопрос конкуренции между группировками стоит достаточно остро, ведь хакерские услуги весьма востребованны. «Время автоматов Калашникова прошло, реальные пацаны заказывают DDoS», – иронизируют в «Информзащите». Нередки случаи обмена DDoS-ударами, рассказывают и о том, как адаптивные клиенты бот-сетей находили и вычищали компьютеры от софта конкурентов.
Есть, конечно, и хакеры-одиночки, предлагающие разовые услуги. Но чаще всего именно наименее опытные взломщики становятся жертвами «разборок» хакерских группировок с правоохранительными органами. А по словам Чередниченко, теперь почти две трети всех угроз, обнаруженных Symantec с 2007 года, исходит от скоординированных, отлично организованных групп злоумышленников.
Вместо паяльника
В последнее время даже у далеких от Интернета людей на слуху термин «DDoS-атака». О них сообщают в новостях и говорят на вечеринках. Широким народным массам понятие «DDoS-атака» стало известно около года назад, в самый разгар скандала о переносе «Бронзового солдата» в Эстонии. Сотни эстонских государственных и административных сайтов, не выдержав искусственно устроенной перегрузки, вышли тогда из строя.
Официальные лица поспешили обвинить в организации DDoS-атак российских хакеров. В том, что именно это скромное по размерам государство столкнулось с использованием атак в политических целях, нет ничего удивительного: Эстония может похвастаться самым высоким показателем распространенности Интернета среди европейских стран. Из 1,3 млн жителей Сетью там пользуется порядка 800 000 человек. Впрочем, в бизнесе использование DDoS-атак уже давно не редкость. Умелое обращение с клавиатурой пришло на смену использованию паяльников. «В случае DDoS-атаки на ваш сайт защититься очень сложно, ее надо скорее достойно пережить. А проблемы искать в первую очередь не в голове и руках сисадмина, а в вашей бизнес-деятельности», – говорят специалисты «Информзащиты».
Объяснить нам значение термина «DDoS-атака» взялся Руслан Рахметов, эксперт по информационной безопасности компании «АйТи»: «Суть атаки заключается в том, что на узел, предоставляющий какой-нибудь сервис, посылается серия ложных запросов. Пытаясь их обработать, сервер тратит на это время и ресурсы. Другие запросы в это время становятся в очередь. Чем больше ложных запросов, тем длиннее очередь реальных. Вот вам и отказ в получении сервиса. Однако ложные запросы, отправленные с одного узла, просто фильтруются по обратному адресу. Гораздо эффективнее отсылать их сразу с нескольких узлов – это, собственно, и называется DDoS-атакой. Чем больше таких узлов и чем сильнее они похожи на обычных пользователей, тем тяжелее выделить ложные запросы из числа остальных».
В пользу распространенности DDoS-атак говорит относительная доступность услуги. Для того чтобы заказать атаку на сайт конкурента, необязательно тратить время, просеивая гигабайты информации на полулегальных интернет-сайтах. Достаточно ввести соответствующий запрос в поисковую систему – и первый же результат будет вести на предложение этой услуги. Еще проще зайти на один из популярных хакерских форумов: именно там как взломщики-одиночки, так и организованные команды обычно размещают объявления о предоставлении DDoS-услуг. Цены вполне щадящие. Владимир Ульянов, руководитель аналитического центра Perimetrix, рассказывает, что «любитель за день проведения атаки может взять сотню долларов, а профессионалы запросят от 10 000 рублей. Цена атаки на хорошо защищенный сервер может доходить до нескольких десятков тысяч долларов в день». Эти данные подтверждают сами профессиональные взломщики: мы связались с одним из таких, увидев объявление на форуме. Собеседник, пожелавший остаться неизвестным, любезно сообщил, что в среднем его услуги стоят от $50 в сутки, но «бывают проекты, цена которых доходит до $3000 в сутки». Оплачивается работа посредством электронной валюты WebMoney или E-gold.
Компьютеры-зомби
Эксперты «Лаборатории Касперского» говорят, что проведение DDoS-атак становится возможным благодаря использованию так называемых ботнетов (бот-сетей). Сотни тысяч компьютеров, зараженных специальным вирусным ПО, могут объединяться в единую сеть и использоваться для широкого спектра операций: атак, спам-рассылок – и все это при ничего не подозревающих пользователях ПК. В докладе Symantec сообщается, что 43% серверов, управляющих ботнетами, находится в США. Ботнет – это сеть, организованная из множества компьютеров без ведома их владельцев. ПК объединяются в одну структуру для совершения различных противоправных действий, управляются дистанционно с помощью вредоносных программ. Такие ПК еще называют зомбированными. Наибольшее число зараженных компьютеров (29%) располагается в Китае. «Существует отдельный бизнес по созданию бот-сетей и сдаче их в аренду», – говорит Денис Назаров из «Лаборатории Касперского».
Этим грешат некоторые веб-мастера. Например, некий студент может подрабатывать изготовлением недорогих простеньких сайтов на заказ. Причем такой веб-мастер вполне может устанавливать на сайты своих клиентов специальные скрипты, которые «зомбируют» компьютеры посетителей. Конечно, чтобы такой скрипт сработал, пользователь должен отключить защиту на своем компьютере, которая по умолчанию активирована в операционной системе. Также простейшие антивирусные средства, как правило, помогут избежать заражения. Но скрипты могут выдавать себя за вполне безобидные процессы. Еще один распространенный способ получения трояна – через скачивание пиратских копий программ из Интернета или пиринговых сетей. Хакеры, которые взламывают защиту лицензионного софта, иногда добавляют в исполняемые файлы свой вредоносный код. Он может содержаться также и в «крэках», которые обычно нужно запустить после установки ПО, чтобы «сломать» защиту.
Кроме того, некоторые сисадмины, обслуживающие большое количество компьютеров, используют свои возможности доступа к ним, чтобы создавать свои бот-сети. Но, как правило, угроза исходит все-таки извне. В любой системе есть «дыры», о которых опытный сисадмин обязан знать и закрывать их. К сожалению, это не всегда так, а «пролезть» в корпоративную сеть через известную «дыру» может даже подросток, начитавшийся сообщений с хакерских форумов.
«Однажды клиенты крупной региональной телекоммуникационной компании вдруг потеряли возможность пользоваться услугой доступа к Интернету, предоставляемой на основании заключенных договоров, – специалисты компании «Информзащита» приводят пример использования DDoS-атаки на конкурентов. – Фактически от Сети было отключено несколько городов. Пиковая загрузка процессора аппаратного межсетевого экрана составляла 100%, его замена и смена настроек фильтрации трафика никакого результата не давали. При расследовании инцидента была выявлена DDoS-атака с бот-сети, а также обнаружен хакер-одиночка, выполнявший заказ компании-конкурента по компрометации качества сервиса». Итог – телекоммуникационной компании пришлось полностью возместить своим клиентам ущерб, ведь по факту несколько пунктов договора на оказание услуг связи были нарушены.
Центр американского английского
Но главным бичом современных интернет-технологий вот уже десяток лет эксперты признают спам. Хотя это слово появилось на свет задолго до появления самой Паутины – в 1936 году под этим товарным знаком выпускали мясные консервы Spicy Ham (по-английски «острая ветчина»). А синонимом назойливой рекламы ветчина стала благодаря знаменитому скетчу британской комик-группы «Монти Пайтон», снятому в 1969 году. Как бы то ни было, уже в 2007 году 90 – 95% всей мировой электронной корреспонденции носило рекламный характер – по данным компании Barracuda Networks. Массовые спам-рассылки используют не только для рекламы порносайтов и средств увеличения пениса, но и с самыми неожиданными целями.
Владимир Ульянов из Perimetrix рассказывает о таком случае: «Иногда мошенники используют спам, чтобы получить выгоду довольно неочевидным способом. Например, в августе прошлого года огромное число писем, разосланных в течение суток, рекомендовало покупать акции малоизвестной компании Prime Time Group Inc. В результате котировки акций за считанные часы подскочили на 30%, что дало спамерам хорошую возможность заработать на этом». Интересно, что лидерство по количеству рассылаемого спама, по данным «Лаборатории Касперского», устойчиво держат США и Россия.
При этом услуга массовой спам-рассылки стоит на рынке совсем недорого: от $50 до $200 за каждый миллион адресов в зависимости от целевой аудитории и вида рассылаемой информации. Как правило, для отправления спама также используются бот-сети. Хотя специалисты «Информзащиты» приводят и другой пример: «Администратор одного из банков однажды получил счет на оплату доступа в Интернет, по сумме в 12 раз превышающий среднемесячный. Как оказалось, причиной тому были неправильные настройки почтового сервера, которыми хакеры воспользовались для рассылки спама».
Ловись, рыбка
Все большую популярность приобретает так называемый фишинг, вопреки своему названию не имеющий ничего общего с рыбной ловлей. Принцип работы мошенников основывается на методах социальной инженерии. Цель фишинга – выудить при помощи замаскированного официального запроса какие-нибудь данные пользователя (номер кредитной карты, пароли для выхода в Интернет, в почту). Для этого пользователю отправляют электронное письмо якобы от имени его интернет-провайдера или банка, в котором компания извиняется за сбои в работе систем и утрату регистрационных данных и просит повторно отправить сведения на обратный адрес. Перейдя по ссылке в письме, человек попадает на подставной сайт, выглядящий точь-в-точь как официальный, – и вводит свои данные, не подозревая о подлоге.
Есть и хорошая новость: по данным «Лаборатории Касперского» за 2007 год, доля фишинговых писем в общем объеме мировой электронной почты составила 6,9% – в два раза меньше, чем годом ранее. С другой стороны, их стало гораздо труднее отличать от легитимных сообщений. За вторую половину 2007 года Symantec зарегистрировала 87 963 фишинговых хост–компьютера, на которых могут располагаться один или несколько фишинговых сайтов. Это на целых 167% больше, чем в первом полугодии 2007 года. Похоже, этот бизнес можно назвать процветающим. Естественно, что 80% целенаправленных фишинговых атак из обнаруженных были произведены в финансовом секторе.
Злоумышленники используют крепнущую подпольную экономику для того, чтобы обмениваться краденой информацией, покупать и продавать ее. Сегодня эта подпольная экономика уже сравнима с экономикой традиционной. Например, рыночные силы спроса и предложения оказывают прямое влияние на цены. Реквизиты кредитных карт, которые можно обнаружить в большом количестве на этом рынке, по сообщениям Symantec, составляют 13% от всех рекламируемых товаров и продаются всего по 40 центов. Цена кредитной карты зависит от местонахождения банка-эмитента. Например, кредитные карты из Евросоюза ценятся дороже американских. Вероятно, предполагают аналитики Symantec, это вызвано меньшим количеством карт, циркулирующих в ЕС. Наиболее часто предлагаются реквизиты банковских счетов, которые составляют 22% всех рекламируемых товаров и продаются всего за $10. А всю информацию, удостоверяющую личность, можно приобрести на черном рынке всего за $1. Например, в Рунете предлагается огромное количество отсканированных копий гражданских паспортов практически за копейки.
Существуют даже специальные наборы инструментов для фишинга, представляющие собой комплект сценариев для автоматического создания веб-сайтов, имитирующих легитимные. Причем в этих комплектах есть «поддержка» разных брендов, их фирменные изображения и логотипы. Группы программистов создают такие наборы и продают их на черном рынке. Эти изощренные инструменты обычно бывает трудно достать, и они дорого ценятся. Как правило, такое ПО приобретают и используют не рядовые пользователи, а хорошо организованные группы фишеров.
Болтун – находка для шпиона
Также существует рынок эксклюзивных хакерских услуг. Сюда относится, например, разработка специализированного вирусного ПО и поиск уязвимостей ресурсов сети по заказу конкурентов. Компания Symantec подсчитала, что в прошлом полугодии среди всех появившихся на свет программных продуктов 65% были вредоносными. Впервые хакерское ПО превысило количество легитимного. Также хакеры широко практикуют проникновение в закрытые информационные системы с целью хищения данных либо нарушения функционирования компонентов. Диапазон стоимости подобных услуг – от $500 до $25 000 в зависимости от степени защищенности атакуемой организации. Впрочем, как показывает опыт компании Perimetrix, еще большую опасность для компаний представляют внутренние угрозы. В отличие от сетевых преступников, штатные сотрудники по долгу службы имеют доступ к конфиденциальной информации, что делает возможным кражу корпоративных секретов.
И некоторые не стесняются этим пользоваться: так, инсайдер из лихтенштейнского банка LGT продал спецслужбам Германии и Великобритании базу клиентов за $6,5 млн. Впрочем, зачастую мошенники преследуют куда более приземленные цели: результаты аналитического исследования компании InfoWatch показывают, что в 2007 году 93% всех утечек пришлось на персональные данные и лишь 6% инцидентов привели к утечке коммерческой тайны. При этом в большинстве случаев информация передается по мобильным устройствам (включая лэптопы) и через Интернет. Как бы ни показалось странным, доля утечек важной информации по электронной почте минимальна: за 2007 год компанией был зафиксирован всего один подобный случай.
Угнали «аську»
Стоит выделить отдельную категорию «вечно» популярных услуг по краже и взлому паролей к почтовым ящикам. Судя по предложению, проще всего хакеры подбирают пароли для ящиков в зоне mail.ru. Стоимость взлома составляет в среднем $50-60, срок исполнения заказа – от 1 до 3 дней. При этом самые уверенные в себе хакеры не берут предоплаты: перевод денег осуществляется лишь после предъявления доказательств взлома, например, отправления письма заказчику со взломанного ящика. Кроме того, в последнее время особенным успехом пользуется услуга по взлому анкет на популярных социальных сетях – «В контакте» и «Одноклассниках». Пароль к любой указанной вами анкете специалисты подберут за пару дней и 30-40 webmoney-денег.
В последнее время участились случаи «угона» ICQ-аккаунтов. Если раньше это делалось ради красивого номера, например, редкого шестизначного, то сейчас пытаются зарабатывать. Интернет-мессенджеры стали для многих уже не просто способом поболтать в рабочее время, но полноценным бизнес-инструментом. Списки контактов могут формироваться годы, и порой владелец «угнанного» аккаунта готов заплатить за его восстановление. Взломщики просят за возврат «аськи» от 500 рублей до 1000 евро, правда, платят единицы, большинство пользователей предпочитает завести новый аккаунт, так как нет гарантиии, что старый не сломают еще раз в надежде снова получить деньги.
В огне брода нет
Единого рецепта борьбы с организованными сетевыми угрозами нет. Кто-то предлагает активно пользоваться всем спектром современных средств антивирусной защиты, другой советует работать над повышением уровня IT-грамотности сотрудников. В одном можно быть уверенным: обеспечение эффективной защиты для организации зачастую весьма затратно. Руслан Рахметов из компании «АйТи» рекомендует подходить к вопросу с прагматической точки зрения: «При подсчете бюджета на покупку системы защиты информации имеет смысл прибегнуть к анализу угроз и оценке рисков, которые стоят перед бизнесом компании. После проведения анализа мы выявляем угрозы, от которых необходимо строить защиту, а после оценки рисков – возможные убытки, которые компания понесет в случае их реализации. Далее идет простая математика: если стоимость системы безопасности будет меньше размера рисков – данная система должна быть внедрена».
Генеральный директор агентства «Бизнес Реклама» Сергей Бесшабашнов советует не упускать из виду человеческий фактор: «Все противозаконные действия совершаются людьми, поэтому и защиту от них должны обеспечивать высококлассные специалисты. Они должны обеспечивать постоянный мониторинг и поддерживать соответствующее программное и аппаратное обеспечение в актуальном состоянии». Однако покупка корпоративного антивирусного ПО становится все менее актуальной: по данным аналитиков Gartner, в этом сегменте темп роста за 2007 год был самым низким. Теперь антивирусы чаще приобретаются в составе аппаратно-программных комплексов вроде систем защиты почты и интернет-шлюзов. Также из отчета компании следует, что в целом объем рынка ПО для обеспечения информационной безопасности за 2007 год вырос на 19,8% и составил $10,4 млрд. Есть спрос – будет и предложение. Владимир Ульянов отмечает другую тенденцию: все большую популярность приобретает концепция защищенного информационного пространства, реализуемая в продуктах класса ИАС РСКД (информационно-аналитические системы режима секретности конфиденциальных данных).
Вывод для владельцев компаний и пользователей Сети неутешителен: стопроцентной защиты от атак не существует. «Даже использование новейших технологий не гарантирует абсолютной защиты, так как ключевой причиной заражения является сам пользователь – подводит итог представитель «Лаборатории Касперского». – Большая часть современных вредоносных программ использует для своего распространения именно методы социальной инженерии, а не бреши в операционной системе и приложениях». "